我正在研究 EBS 加密卷。但我被迷住了,无法理解它的工作原理。
我有两个具有管理员权限的用户帐户 xyz 和 abc,它们是从 root 帐户创建的。
我已经从 xyz 帐户创建了一个密钥,称为 xyz-key,并使用它加密了卷 vol-xyz,并向其中添加了一些文件。xyz-key 同时具有密钥管理员和密钥用户作为用户 xyz。
现在我已以 abc 用户身份登录控制台,分离 vol-xyz 并安装到其他实例。现在当我尝试访问卷上的内容时,所有文件都可用且未加密。
该卷不应该被加密吗?
答案1
当您使用 KMS 加密来加密卷时,数据在“静止”时会被加密。这意味着,数据在 EBS 卷硬件上时会被加密。当你从 EC2 实例访问它时则不是。当您从 EBS 卷读取块时,EC2/EBS 系统将自动解密数据并以未加密的形式呈现给您。
数据是在块级别加密的,而不是在文件系统级别。当您的 Linux/Windows EC2 实例“看到”这些块时,数据已被解密。
重要提示:您永远不会看到加密形式的数据。
KMS 加密 EBS 卷不是对访问您的 EC2 实例的其他人隐藏数据。
KMS 加密 EBS 卷不是当卷连接到另一个 EC2 实例时隐藏数据。
KMS 加密 EBS 卷做对直接有权访问 EBS 卷硬件的人员隐藏数据。
KMS 加密 EBS 卷做隐藏数据,如果开始EC2 实例无权访问 KMS 密钥。在这种情况下,EC2 实例不会启动。
一旦 EC2 实例启动并运行,任何有权访问 EC2 实例的人都可以访问 EBS 卷。而且数据永远不会显示为加密。
答案2
如果启动 EC2 实例的人无法访问 KMS 密钥,则 KMS 加密 EBS 卷会隐藏数据。在这种情况下,EC2 实例将无法启动。
我不确定这是否完全正确。只要 EC2 实例有权访问 KMS 密钥(在具有 KMS 访问权限的角色下运行),用户凭据是什么就无关紧要了(用户只需要 EC2 访问权限)。
听起来对吗?